Adobe ha lanzado en el día de ayer 21 de septiembre 2011 una actualización de seguridad para su reproductor multimedia multiplataforma Flash Player que visualiza los contenidos flash en páginas web. En esta actualización del Flash Player con el (identificador de vulnerabilidad: APSB11-26) se han corregido 6 vulnerabilidades de seguridad (CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430, CVE-2011-2444) en todas las plataformas.

Las vulnerabilidades críticas identificadas en Adobe Flash Player 10.3.183.7 y versiones anteriores para los sistemas operativos Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 y versiones anteriores para Android, podrían provocar que la aplicación dejara de responder y permitir que un atacante tomara el control del sistema afectado.

Hay informes de que una de estas vulnerabilidades (CVE-2011-2444) está siendo explotada “in the wild“( léase: activos en el mundo real)  en ataques diseñados y dirigidos para engañar al usuario a hacer clic en un enlace malicioso en un mensaje de correo electrónico. Este problema de universal cross-site scripting podría ser utilizado para tomar acciones en nombre de un usuario en cualquier sitio web o proveedor de correo web si el usuario visita un sitio web malicioso.

Versiones de software afectadas

  • Adobe Flash Player 10.3.183.7 y versiones anteriores para Windows, Macintosh, Linux y Solaris
  • Adobe Flash Player 10.3.186.6 y versiones anteriores para Android

(Nota:. El componente authplay.dll que se incluye con Adobe Reader y Acrobat X (10.1.1) y versiones anteriores 10.xy 9.x para Windows y Macintosh no está afectada por CVE-2011-2444)

Para verificar la versión de Adobe Flash Player instalado en su sistema, acceda a la página Acerca de Flash o haga clic en el contenido ejecutado en Flash Player y seleccione “Acerca de Adobe (o Macromedia) Flash Player” en el menú. Si utiliza varios navegadores, realice la comprobación para cada navegador instalado en su sistema.
Para verificar la versión de Adobe Flash Player para Android, vaya a Configuración> Aplicaciones> Administrar aplicaciones> Adobe Flash Player 10.x

Solución

Adobe recomienda a todos los usuarios de Adobe Flash Player 10.3.183.7 y versiones anteriores para Windows, Macintosh, Linux y Solaris actualizarse a la versión más reciente 10.3.183.10 descargándolo desde el Adobe Flash Player del Centro de descarga . Los usuarios de Adobe Flash Player 10.3.183.7 o posterior en Windows y Macintosh pueden instalar la actualización a través del mecanismo de actualización automática del producto cuando se lo solicite.

Los usuarios de Adobe Flash Player para Android 10.3.186.6 y versiones anteriores deben actualizar a Adobe Flash Player para Android 10.3.186.7, navegando a la Android Market en un teléfono Android.

Software afectado
 Update recomendado
Disponibilidad
Flash Player 10.3.183.7 y anteriores 10.3.183.10 Flash Player Download Center
Flash Player 10.3.183.7 y anteriores – distribuición por network 10.3.183.10 Flash Player Licensing
Flash Player 10.3.186.6 y anteriores para Android  10.3.186.7 Android Marketplace
(navegue en un telefono Android)
Flash Player 10.3.183.7 y anteriores para usuarios de Chrome 10.3.183.10 Google Chrome Releases

 

Índice de gravedad

Adobe lo define como una actualización critica y recomienda a los usuarios actualicen sus instalaciones a las nuevas versiones a la mayor brevedad posible.

Detalles

(CVE-2011-2444):

Esta actualización resuelve un problema de universal de cross-site scripting que podría ser utilizado para tomar acciones en nombre de un usuario en cualquier sitio web o proveedor de correo web si el usuario visita un sitio web malicioso.

Nota: Hay informes de que esta vulnerabilidad está siendo explotada en la naturaleza en activo ataques in the wild“( léase: activos en el mundo real) dirigidos y diseñados para engañar al usuario a hacer clic en un enlace malicioso en un mensaje de correo electrónico.

(CVE-2011-2426):

Esta actualización resuelve un problema de desbordamiento de pila MAV que puede permitir la ejecución remota de código.

(CVE-2011-2427):

Esta actualización resuelve un problema de desbordamiento de pila MAV que puede conducir a una denegación de servicio y la ejecución de código.

(CVE-2011-2428):

Esta actualización resuelve un problema de error de lógica que provoca un bloqueo del navegador y puede conducir a la ejecución de código.

(CVE-2011-2429):

Esta actualización resuelve una seguridad de Flash Player saltarse el control de lo que podría permitir la divulgación de información.

(CVE-2011-2430):

Esta actualización resuelve una vulnerabilidad de la lógica de medios de transmisión de error que podría llevar a la ejecución de código.

Reconocimientos

Adobe desea agradecer a las siguientes personas y organizaciones para informar de estos problemas así como su colaboración con Adobe para ayudar a proteger a sus clientes:

 Fuente: Adobe Security Bulletins

Anuncios